什麼允許使用者登錄 Windows Server?
我對 Windows Server 比較陌生,希望有人確認我對使用者登錄到 Windows 域上的 Windows 2008 R2 伺服器所需的權限的理解是否正確:
- 管理員組中的任何人都可以通過在登錄視窗中指定他們的使用者名,在伺服器上或通過遠端 mstsc 視窗物理登錄伺服器。
- 管理員組可以做其他組可以做的所有事情。
- 遠端桌面組中的任何人都可以從客戶端電腦執行 mstsc 並查看伺服器的登錄螢幕。
- 使用者組中的任何人都可以在其登錄螢幕上登錄伺服器。
因此,以下情況是正確的:
- 使用者
DOMAIN\JOHN
在DOMAIN\SERVER1
組中的遠端桌面使用者中,但不在該伺服器上的使用者組中。使用者DOMAIN\JANE
在使用者組中,但不在遠端桌面使用者組中。
- John 可以從
DOMAIN\PC1
as啟動 mstscDOMAIN\JOHN
,他將看到登錄螢幕,但無法登錄 asDOMAIN\JOHN
但是,可以登錄 asDOMAIN\JANE
。
- 使用者
DOMAIN\JAMES
在管理員組中,DOMAIN\SERVER1
但不在使用者或遠端桌面使用者組中。他將能夠在 as 上啟動 mstsc 會話,DOMAIN\SERVER1
並DOMAIN\PC2
看到DOMAIN\JAMES
登錄螢幕並以DOMAIN\JAMES
.- 使用者
DOMAIN\JACK
在使用者組中,DOMAIN\SERVER1
但不在遠端桌面使用者組中。Jack 可以訪問伺服器,但只能通過對伺服器本身的物理訪問(因為他無法通過 RDP 訪問伺服器)。- 使用者
DOMAIN\JILL
登錄DOMAIN\PC1
,執行 mstsc,在 mstscDOMAIN\JOHN
的登錄設置中輸入使用者名,看到伺服器登錄螢幕並進入DOMAIN\JANE
,出現伺服器桌面。對不起,如果這看起來相當微不足道,但這是我通過閱讀的理解,如果有人能確認我是否正確,那就太好了。
這取決於。
您的問題的答案取決於您考慮的使用者和組是否具有登錄電腦所需的使用者權限。
登錄 Windows Server 的權限通過兩個組策略設置進行控制。它們都位於:
Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment
如果您改為編輯本地組策略(與域 GP),則可以在以下位置找到設置:
Local Policies/User Rights Assignment
這兩個設置及其作用如下:
1.“允許本地登錄”
此策略設置確定哪些使用者可以在電腦上啟動互動式會話。
換句話說,這控制了誰可以通過電腦的“物理”控制台登錄。在虛擬機的情況下,這將是通過虛擬機管理界面登錄。
上面的文章確認了建立遠端桌面會話不需要此權限:
如果使用者擁有“允許通過遠端桌面服務登錄”權限,則沒有此權限的使用者仍然可以在電腦上啟動遠端互動會話。
除非電腦是域成員或域控制器電腦:
使用者必須擁有此使用者權限才能通過在基於 Windows 的成員電腦或域控制器上執行的遠端桌面服務或終端服務會話進行登錄。
2.“允許通過遠端桌面服務登錄”
此策略設置確定哪些使用者或組可以通過遠端桌面服務連接訪問遠端電腦的登錄螢幕。使用者可以建立與特定伺服器的遠端桌面服務連接,但無法登錄到同一伺服器的控制台。
使用者可能能夠建立遠端桌面會話但無法登錄到控制台的原因是因為後者需要“允許本地登錄”權限,如上所述,並非在所有情況下都需要登錄遠端。
上面連結的 TechNet 文章解釋了預設情況下為哪些使用者和組分配了這些登錄權限。但是,通過編輯可以更改這兩個設置。正是出於這個原因,您的問題的答案取決於您的伺服器(以及它所在的域)的配置方式。